Early Detection of Cybersecurity Threats Using Collaborative Cognition阅读笔记

Background

现有的SIEM系统收集大量的安全日志，并进行分析，以向安全分析师提供警报。然而其报告很难理解，且有很多噪声，通常缺乏操作细节。这类系统缺乏协作，不仅是收集来自主机和传感器的数据，还应具有集成和推理的能力。

网络威胁情报的一个挑战是其不完整性，通常它是为特定的受众编写的，没有解释或定义每个术语的含义。因此，本文采用UCO表示网络安全领域知识。

Purpose

本文描述了一个基于不同组件协作的认知助手，能够对网络攻击进行早期检测。它从多个威胁情报来源中获取新发布的漏洞信息，并将其表示为机器可推断的知识图谱。通过集成传统传感器的数据（如主机IDS、防火墙、网络ID等），被监控的企业或网络的当前状态也会表示在知识图谱中。这样的认知分析不仅减少了误报，也减少了分析人员的认知负荷。

Cognitive Approach to Cybersecurity

本节描述作者的检测网络安全攻击的方法，源自人类吸收各种知识的认知过程。认知策略包括从不同情报来源获取知识和数据，并将它们与现有的知识图谱相结合，该知识图谱已经包含了关于攻击模式、先前的攻击、使用的工具、指标等网络威胁情报数据。接下来被用于在传统和非传统传感器的数据上进行推理，以检测和预测网络安全事件。

该框架的新特点是其从动态文本源中获取信息，并与恶意软件行为信息结合，能够检测已知和未知攻击。主要挑战在于文本源是供人类使用的，且信息可能不完整，另外，文本是为对主题有一定了解的特殊受众准备的，可能比文本本身含有更多语义信息。

作者的认知方法通过在知识图谱中集成经验或安全威胁概念来解决这个问题，并使用推理技术将其与新的、可能不完整的文本知识相结合。

为了解决结构化存储和处理有关知识的挑战，作者引入了入侵杀伤链。许多攻击都遵循这七个步骤，在知识图谱中表示这些步骤，并将它们与相关信息（如每个步骤中使用的工具或技术）关联起来。使用杀伤链有助于讲文本信息吸收到知识图谱中，还有助于检测现有攻击的变体，另外，由于结合了不同的攻击信息并将其与文本信息融合，可以检测新的攻击。

Attack Model

作者对攻击者做了一些假设：首先，攻击者没有被攻击系统的完整内部知识，这意味着需要进行一些探测或侦察；其次，不是所有的攻击都是全新的，可能会有漏洞的重用等；最后，本文的框架拥有足够的传感器去检测网络和主机的基本行为。

将攻击者按照掌握的知识和复杂程度分为script kiddies，intermediate，advanced state actor。系统尽力去有效防范前两种攻击。

System Architecture

系统架构如图1，主要有三个输入源：文本源、传统传感器、人类专家。Intel-Aggregate模块从博客、网站、社交媒体捕获信息并将其转换为RDF表示。接下来传入Cognitive Cybersecurity（CCS）模块，产生行动情报（actionable intelligence）协助安全分析师。

Cognitive CyberSecurity Module

该模块的核心是知识表示，作者使用UCO的拓展，以OWL形式表示安全领域的知识，还使用SWRL指定实体之间的规则。

Intel-Aggregate Module

该模块将各种传感器的输入映射到UCO，生成标准OWL格式。

Proof of Concept Implementation

主节点是CCS模块，该模块检测各种网络安全事件，并协调和管理一组可配置的认知代理，这些代理运行在收集各种统计信息的主机系统上，如图3所示。

一个完整的代理是IA模块和一个传统传感器的结合，作者实现了以下代理：

1） 进程监控代理

2） 文件监控代理

3） Snort代理

Conclusion

本文描述了一个协作认知助手的设计与实现，以检测网络攻击。吸收各种来源的文本信息，使用UCO将其表示为知识图谱，并在知识图谱中表示了来自传感器和其他机器学习技术生成的分析。还开发了一个概念验证CCS系统，它具有一个认知仪表盘，用来向网络安全分析师报告。